SVN5630配置SSL-VPN业务，客户端每隔二十分钟就会与总部断开连接

SVN5630配置SSL-VPN业务，客户端每隔二十分钟就会与总部断开连接，导致终端的刷卡软件无法正常访问总部服务器业务，无法刷卡

1、分析整网拓扑，总部出口为USG防火墙，SVN设备单线旁挂在USG防火墙上，客户端数据到达服务器需要经过USG防火墙

2、考虑是长连接的问题，在Svn和USG防火墙设备上配置长连接策略，再次测试，故障依然存在。

3、在终端上抓包，分析长时间不通信后的刷卡抓包，终端直接发出TCP载荷报文，未收到响应，并在随后的35秒时间内重传7次，且都未收到响应。

USG防火墙流统显示有丢包，丢包原因是首包状态检测失败。防火墙默认开启链路状态检测功能，如果TCP会话已经老化，那么该TCP连接的后续报文到达防火墙时，就会被防火墙丢弃。防火墙TCP默认老化时间为1200秒（20分钟），在没有报文交互的20分钟后，TCP会话就会被清除。此后，如果终端直接发送TCP载荷报文（非syn，syn ack报文），就会被防火墙链路状态检测认为为非法报文而丢弃。

Protocol(TCP) SourceIp(192.168.202.9) DestinationIp(10.76.150.100)  

 SourcePort(3141) DestinationPort(1521) VpnIndex(public)  

                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag  

 Obverse(pkts) : 60          0           52          8           0            

 Reverse(pkts) : 53          0           53          0           0         

 Discard detail information:

  FIRSTPACKET_STATUS_CHECK_1    :     8  

 TCP sequence information:  

 Obverse(hex) : e9723586-e97259ae  

 FirstSetPointSeq(hex) :0   

 LastSetPointSeq(hex) :0   

 Overlap :7   

 Reverse(hex) : cce50a27-cce56502  

 FirstSetPointSeq(hex) :cce56470   

 LastSetPointSeq(hex) :cce56470   

 Overlap :0

Protocol(TCP) SourceIp(192.168.202.9) DestinationIp(10.76.150.100)  

 SourcePort(2676) DestinationPort(1521) VpnIndex(public)  

                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag  

 Obverse(pkts) : 20          0           12          8           0            

 Reverse(pkts) : 16          0           16          0           0         

 Discard detail information:

  FIRSTPACKET_STATUS_CHECK_1    :     8  

 TCP sequence information:  

 Obverse(hex) : 579734ac-57973bac  

 FirstSetPointSeq(hex) :0   

 LastSetPointSeq(hex) :0   

 Overlap :7   

 Reverse(hex) : f5d3f39b-f5d41ed1  

 FirstSetPointSeq(hex) :0   

 LastSetPointSeq(hex) :0   

 Overlap :0

防火墙默认开启链路状态检测功能，如果TCP会话已经老化，那么该TCP连接的后续报文到达防火墙时，就会被防火墙丢弃。防火墙TCP默认老化时间为1200秒（20分钟），在没有报文交互的20分钟后，TCP会话就会被清除。此后，如果终端直接发送TCP载荷报文（非syn，syn ack报文），就会被防火墙链路状态检测认为为非法报文而丢弃。

关闭SVN和防火墙的状态检测机制功能。